Здравствуйте Заранее прошу прощения если уже было(вроде не нашёл) так вот .... я внедрил в нужный мне процесс dll и установил перехват на функцию ZwWriteFile, всё нормально работает и перехватываеться, но мне нужно обрабатывать лишь запись в определённый файл. Так собсно вопрос как можно, из тела моего обработчика ZwWriteFile выяснить в какой файл в данный момент пишет этот процесс? Тобишь как мне узнать что данный хэндл принадлежит нужному мне файлу?
invoke ZwQuerySystemInformation с классом SystemHandleInformation там будет Unicode поле с именем объекта, в нашем случае это имя файла
по моему мне нужно для того чтобы получить то что сказал ты вызвать ZwQueryObject с классом ObjectNameInformation правда пока чёто не выходит не могу нормально разобраться со всеми структурами а ZwQuerySystemInformation с классом SystemHandleInformation, как я понял, просто перечислит все хэндлы и выдаст информацию по ним, но зачем так страдать если хэндл уже имеется? может я не прав наставьте если не так ещё лучше нашёл ZwQueryInformationFile
ну дык расскажи про то как в драйвере, всем будет полезно и возможно на одну лишнюю тему на васме меньше = )
ObReferenceObjectByHandle ObReferenceObjectByName ObReferenceObjectByPointer Хэндл у тебя есть, получишь объект. Структуру объекта ты знаешь/дожен знать/найдёшь.
to CARDINAL Я теперь итак знаешь/дожен знать/найдёшь =)) ... но в любом случае спасибо кому-то (знающему о поиске на форуме) обязательно поможет считаю тему исчерпаной!
